Udostępnij za pośrednictwem


Konfigurowanie i weryfikowanie wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ten artykuł zawiera informacje na temat definiowania programów antywirusowych i wykluczeń globalnych dla Ochrona punktu końcowego w usłudze Microsoft Defender. Wykluczenia oprogramowania antywirusowego mają zastosowanie do skanów na żądanie, ochrony w czasie rzeczywistym (RTP) i monitorowania zachowania (BM). Globalne wykluczenia mają zastosowanie do ochrony w czasie rzeczywistym (RTP), monitorowania zachowania (BM) oraz wykrywania i reagowania punktów końcowych (EDR), zatrzymując w ten sposób wszystkie skojarzone wykrycia antywirusowe, alerty EDR i widoczność wykluczonego elementu.

Ważna

Wykluczenia oprogramowania antywirusowego opisane w tym artykule mają zastosowanie tylko do możliwości ochrony antywirusowej, a nie do wykrywania i reagowania na punkty końcowe (EDR). Pliki wykluczone przy użyciu wykluczeń antywirusowych opisanych w tym artykule mogą nadal wyzwalać alerty EDR i inne wykrycia. Globalne wykluczenia opisane w tej sekcji dotyczą funkcji wykrywania i reagowania na programy antywirusowe i punkty końcowe, zatrzymując w ten sposób wszystkie skojarzone zabezpieczenia antywirusowe, alerty EDR i wykrycia. Wykluczenia globalne są obecnie w publicznej wersji zapoznawczej i są dostępne w usłudze Defender dla wersji 101.23092.0012 punktu końcowego lub nowszej, w pierścieniach Wolny testerów i Produkcja. W przypadku wykluczeń EDR skontaktuj się z pomocą techniczną.

Niektóre pliki, foldery, procesy i pliki otwierane przez proces można wykluczyć z usługi Defender for Endpoint w systemie Linux.

Wykluczenia mogą być przydatne, aby uniknąć nieprawidłowych wykryć plików lub oprogramowania, które są unikatowe lub dostosowane do organizacji. Wykluczenia globalne są przydatne w przypadku ograniczania problemów z wydajnością spowodowanych przez usługę Defender for Endpoint w systemie Linux.

Ostrzeżenie

Definiowanie wykluczeń obniża ochronę oferowaną przez usługę Defender for Endpoint w systemie Linux. Należy zawsze oceniać ryzyko związane z implementowaniem wykluczeń i należy wykluczać tylko pliki, które są pewne, że nie są złośliwe.

Obsługiwane zakresy wykluczeń

Zgodnie z opisem we wcześniejszej sekcji obsługujemy dwa zakresy wykluczeń: wykluczenia antywirusowe (epp) i globalne (global).

Wykluczenia oprogramowania antywirusowego mogą służyć do wykluczania zaufanych plików i procesów z ochrony w czasie rzeczywistym przy zachowaniu widoczności EDR. Globalne wykluczenia są stosowane na poziomie czujnika i wyciszenia zdarzeń, które pasują do warunków wykluczenia bardzo wcześnie w przepływie, zanim zostanie wykonane jakiekolwiek przetwarzanie, zatrzymując w ten sposób wszystkie alerty EDR i wykrywanie oprogramowania antywirusowego.

Uwaga

Globalny (global) to nowy zakres wykluczeń, który wprowadzamy oprócz zakresów wykluczeń programu antywirusowego (epp), które są już obsługiwane przez firmę Microsoft.

Kategoria wykluczenia Zakres wykluczeń Opis
Wykluczenie programu antywirusowego Aparat antywirusowy
(zakres: epp)
Wyklucza zawartość ze skanowania antywirusowego (AV) i skanów na żądanie.
Wykluczenie globalne Wykrywanie oprogramowania antywirusowego i punktu końcowego oraz aparat odpowiedzi
(zakres: globalny)
Wyklucza zdarzenia z ochrony w czasie rzeczywistym i widoczności EDR. Domyślnie nie dotyczy skanowania na żądanie.

Obsługiwane typy wykluczeń

W poniższej tabeli przedstawiono typy wykluczeń obsługiwane przez usługę Defender for Endpoint w systemie Linux.

Wykluczenia Definicja Przykłady
Formatem Wszystkie pliki z rozszerzeniem w dowolnym miejscu na urządzeniu (niedostępne dla wykluczeń globalnych) .test
Plik Określony plik zidentyfikowany za pomocą pełnej ścieżki /var/log/test.log
/var/log/*.log
/var/log/install.?.log
Folder Wszystkie pliki w określonym folderze (cyklicznie) /var/log/
/var/*/
Proces Określony proces (określony przez pełną ścieżkę lub nazwę pliku) i wszystkie otwarte przez niego pliki /bin/cat
cat
c?t

Ważna

Używane ścieżki muszą być twardymi łączami, a nie łączami symbolicznymi, aby można je było pomyślnie wykluczyć. Możesz sprawdzić, czy ścieżka jest linkiem symbolicznym, uruchamiając polecenie file <path-name>.

Wykluczenia plików, folderów i procesów obsługują następujące symbole wieloznaczne:

Uwaga

Ścieżka pliku musi być obecna przed dodaniem lub usunięciem wykluczeń plików z zakresem jako globalnym. Symbole wieloznaczne nie są obsługiwane podczas konfigurowania wykluczeń globalnych.

Symbol wieloznaczny Opis Przykłady
* Dopasowuje dowolną liczbę znaków, w tym brak
(pamiętaj, że jeśli ten symbol wieloznaczny nie jest używany na końcu ścieżki, zastępuje tylko jeden folder)
/var/*/tmp zawiera dowolny plik i /var/abc/tmp jego podkatalogi oraz /var/def/tmp jego podkatalogi. Nie zawiera /var/abc/log ani /var/def/log

/var/*/ Zawiera tylko wszystkie pliki w jego podkatalogach, takie jak /var/abc/, ale nie pliki bezpośrednio wewnątrz /var.

? Dopasowuje dowolny pojedynczy znak file?.log zawiera file1.log i file2.log, ale niefile123.log

Uwaga

W przypadku wykluczeń programu antywirusowego w przypadku używania symbolu wieloznacznego * na końcu ścieżki będzie ona zgodna ze wszystkimi plikami i podkatalogami w obszarze nadrzędnym symbolu wieloznacznego.

Jak skonfigurować listę wykluczeń

Korzystanie z konsoli zarządzania

Aby skonfigurować wykluczenia z platformy Puppet, Rozwiązania Ansible lub innej konsoli zarządzania, zapoznaj się z poniższym przykładem mdatp_managed.json.

{
   "exclusionSettings":{
     "exclusions":[
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/home/*/git<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":true,
           "path":"/run<EXAMPLE DO NOT USE>",
           "scopes": [
              "global"
           ]
        },
        {
           "$type":"excludedPath",
           "isDirectory":false,
           "path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
           "scopes": [
              "epp", "global"
           ]
        },
        {
           "$type":"excludedFileExtension",
           "extension":".pdf<EXAMPLE DO NOT USE>",
           "scopes": [
              "epp"
           ]
        },
        {
           "$type":"excludedFileName",
           "name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
        }
     ],
     "mergePolicy":"admin_only"
   }
}

Aby uzyskać więcej informacji, zobacz Ustawianie preferencji dla usługi Defender dla punktu końcowego w systemie Linux.

Korzystanie z wiersza polecenia

Uruchom następujące polecenie, aby wyświetlić dostępne przełączniki do zarządzania wykluczeniami:

Uwaga

--scope to opcjonalna flaga z akceptowaną wartością jako epp lub global. Zapewnia ten sam zakres używany podczas dodawania wykluczenia w celu usunięcia tego samego wykluczenia. W podejściu wiersza polecenia, jeśli zakres nie jest wymieniony, wartość zakresu jest ustawiona jako epp. Wykluczenia dodane za pośrednictwem interfejsu --scope wiersza polecenia przed wprowadzeniem flagi pozostają nienaruszone, a ich zakres jest traktowany jako epp.

mdatp exclusion

Porada

Podczas konfigurowania wykluczeń przy użyciu symboli wieloznacznych umieść parametr w cudzysłowie, aby zapobiec globbingowi.

Przykłady:

  • Dodaj wykluczenie dla rozszerzenia pliku (wykluczenie rozszerzenia nie jest obsługiwane w przypadku zakresu wykluczenia globalnego) :

    mdatp exclusion extension add --name .txt
    
    Extension exclusion configured successfully
    
    mdatp exclusion extension remove --name .txt
    
    Extension exclusion removed successfully
    
  • Dodaj/usuń wykluczenie dla pliku (ścieżka pliku powinna już istnieć w przypadku dodania lub usunięcia wykluczenia z zakresu globalnego) :

    mdatp exclusion file add --path /var/log/dummy.log --scope epp
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope epp
    
    File exclusion removed successfully"
    
    mdatp exclusion file add --path /var/log/dummy.log --scope global
    
    File exclusion configured successfully
    
    mdatp exclusion file remove --path /var/log/dummy.log --scope global
    
    File exclusion removed successfully"
    
  • Dodaj/usuń wykluczenie dla folderu:

    mdatp exclusion folder add --path /var/log/ --scope epp
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope epp
    
    Folder exclusion removed successfully
    
    mdatp exclusion folder add --path /var/log/ --scope global
    
    Folder exclusion configured successfully
    
    mdatp exclusion folder remove --path /var/log/ --scope global
    
    Folder exclusion removed successfully
    
  • Dodaj wykluczenie dla drugiego folderu:

    mdatp exclusion folder add --path /var/log/ --scope epp
    mdatp exclusion folder add --path /other/folder  --scope global
    
    Folder exclusion configured successfully
    
  • Dodaj wykluczenie dla folderu z symbolem wieloznacznym:

    Uwaga

    Symbole wieloznaczne nie są obsługiwane podczas konfigurowania wykluczeń globalnych.

    mdatp exclusion folder add --path "/var/*/tmp"
    

    Uwaga

    Spowoduje to wykluczenie tylko ścieżek w obszarze /var/*/tmp/, ale nie folderów, które są elementami równorzędnych tmp; na przykład /var/this-subfolder/tmp, ale nie /var/this-subfolder/log.

    mdatp exclusion folder add --path "/var/" --scope epp
    

    LUB

    mdatp exclusion folder add --path "/var/*/" --scope epp
    

    Uwaga

    Spowoduje to wykluczenie wszystkich ścieżek, których elementem nadrzędnym jest /var/; na przykład /var/this-subfolder/and-this-subfolder-as-well.

    Folder exclusion configured successfully
    
  • Dodaj wykluczenie dla procesu:

    mdatp exclusion process add --name /usr/bin/cat --scope global 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope global
    
    Process exclusion removed successfully
    
      mdatp exclusion process add --name /usr/bin/cat --scope epp 
    
    Process exclusion configured successfully
    
    mdatp exclusion process remove --name /usr/bin/cat  --scope epp
    
    Process exclusion removed successfully
    
  • Dodaj wykluczenie dla drugiego procesu:

    mdatp exclusion process add --name cat --scope epp
    mdatp exclusion process add --name dog --scope global
    
    Process exclusion configured successfully
    

Weryfikowanie list wykluczeń przy użyciu pliku testowego EICAR

Możesz sprawdzić, czy listy wykluczeń działają, pobierając plik testowy za pomocą polecenia curl .

W poniższym fragmencie kodu powłoki Bash zastąp test.txt ciąg plikiem zgodnym z regułami wykluczeń. Jeśli na przykład wykluczono rozszerzenie, zastąp .testing ciąg test.txttest.testing. Jeśli testujesz ścieżkę, upewnij się, że uruchamiasz polecenie w tej ścieżce.

curl -o test.txt https://secure.eicar.org/eicar.com.txt

Jeśli usługa Defender for Endpoint w systemie Linux zgłasza złośliwe oprogramowanie, reguła nie działa. Jeśli nie ma raportu o złośliwym oprogramowaniu i pobrany plik istnieje, wykluczenie działa. Możesz otworzyć plik, aby potwierdzić, że zawartość jest taka sama jak opisana w witrynie internetowej pliku testowego EICAR.

Jeśli nie masz dostępu do Internetu, możesz utworzyć własny plik testowy EICAR. Zapisz ciąg EICAR w nowym pliku tekstowym za pomocą następującego polecenia powłoki Bash:

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

Możesz również skopiować ciąg do pustego pliku tekstowego i spróbować go zapisać przy użyciu nazwy pliku lub folderu, który próbujesz wykluczyć.

Zezwalaj na zagrożenia

Oprócz wykluczenia pewnej zawartości ze skanowania można również skonfigurować produkt tak, aby nie wykrywał niektórych klas zagrożeń (identyfikowanych przez nazwę zagrożenia). Należy zachować ostrożność podczas korzystania z tej funkcji, ponieważ może pozostawić urządzenie bez ochrony.

Aby dodać nazwę zagrożenia do listy dozwolonych, wykonaj następujące polecenie:

mdatp threat allowed add --name [threat-name]

Nazwę zagrożenia skojarzoną z wykrywaniem na urządzeniu można uzyskać za pomocą następującego polecenia:

mdatp threat list

Aby na przykład dodać EICAR-Test-File (not a virus) (nazwę zagrożenia skojarzoną z wykrywaniem EICAR) do listy dozwolonych, wykonaj następujące polecenie:

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.